Nová európska úprava ochrany osobných údajov: porušenie ochrany osobných údajov

Porušenie ochrany osobných údajov môže byť podľa GDPR od 25. mája 2018 sankcionované prísnejšie a jednoduchšie. Podnikom aj iným organizáciám pracujúcim s osobnými údajmi hrozia nielen ľahšie vymáhateľné nároky na odškodnenie dotknutých osôb, ale aj uloženie vyššej pokuty dozornými úradmi.

Rastie tiež riziko ujmy na povesti vyplývajúcej z prípadných porušení ochrany osobných údajov, ktoré sa musia hlásiť.Podniky a iné subjekty pracujúce s osobnými údajmi by si preto mali všetko zorganizovať tak, aby boli nielen schopné na porušenie ochrany osobných údajov reagovať rýchlo a efektívne, ale predovšetkým, aby urobili všetky potrebné opatrenia, aby sa porušeniam zabránilo.

Rozpoznanie porušenia

Najdôležitejšie je, porušenie ochrany osobných údajov vôbec rozpoznať. Len ten, kto vie, že niečo nie je v poriadku, môže zjednať nápravu. Schopnosť porušenie rozpoznať sa zakladá na nevyhnutnom školení zamestnancov a spoluprácu s poverencom pre ochranu dát.

Dokladovanie porušenia

Podľa GDPR musia byť všetky porušenia ochrany osobných údajov, vrátane ich príčin a následkov, zdokumentované. Vďaka tejto dokumentácii možno vyvodiť predovšetkým to, či a aké existujúce rozhranie, procesy a opatrenia sú efektívne, alebo musia byť optimalizované.

Potrebné opatrenia

Samozrejme nestačí problém len rozpoznať a zdokumentovať. V spolupráci so zodpovedným špecializovaným oddelením, s IT administrátorom a zodpovednou osobou v súvislosti s ochranou osobných údajov by okrem toho mali byť dohodnuté nutné nápravné opatrenia.Nezávisle od existencie porušenia ochrany osobných údajov je vhodné kontrolovať pravidelne opatrenia na ochranu osobných údajov čo do ich efektívnosti a účinnosti a výsledky každej kontroly zdokumentovať.

Preverenie rizika

Bezprostredne po rozhodnutí ohľadom potrebných nápravných opatrení by malo dôjsť k zisteniu už vzniknutých rizík pre práva a záujmy tých, ktorých údajov sa porušenie týka, a tiež miery zníženia rizika, ktoré nastane v dôsledku nových potrebných opatrení. Malo by tiež byť preverené pretrvávajúce zvyškové riziko. To všetko by mala vykonať zodpovedná osoba v súvislosti s ochranou osobných údajov. V rámci zisťovania rizika by sa malo analyzovať, či a do akej miery možno v dôsledku sprístupnenia údajov vyvodzovať závery najmä ohľadom ekonomickej situácie, zdravia, spoľahlivosti alebo pracovného výkonu dotknutých osôb a koľkých osôb sa to týka.

Hlásenie porušenia

V závislosti od výsledku analýzy rizík musí byť rozhodnuté, či ide o menej závažné, primerané alebo vysoké zvyškové riziko. Výsledné rozhodnutie aj jemu predchádzajúce úvahy musia byť zdokumentované. V prípade zostávajúcich menej vážnych rizík možno upustiť od hlásenia porušenia.Pri primeraných zvyškových rizikách musí byť informovaný príslušný dozorný úrad o spôsobe porušenia ochrany osobných údajov, o druhu a počte dotknutých záznamov osobných údajov a ich subjektov aj o zistených zostávajúcich rizikách a plánovaných resp. už urobených opatreniach. Následne sa dohodne s dozorným úradom, ČI a AKÉ ďalšie opatrenia musia byť urobené.Na základe vysokých zostávajúcich rizík musí byť informovaný tak ako dozorný úrad, tak aj dotknutá osoba, ktorej ochrana osobných údajov bola porušená. Musí sa pritom dbať najmä na to, aby oznámené informácie boli jasné a transparentné.Odporúčame zachytiť proces postupu v prípade porušenia ochrany údajov v tzv. krízovom pláne.

Kolegovia z našich pobočiek Vám budú kedykoľvek radi k dispozícii a zodpovedia Vám všetky prípadné ďalšie otázky.